Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 11 - 17 de noviembre
Patch Tuesday de noviembre de Microsoft
Microsoft ha publicado las actualizaciones del Patch Tuesday del mes de noviembre en las que se parchean un total de 63 vulnerabilidades. Entre los fallos parcheados se encuentran cinco 0-day, de los cuales tres están siendo activamente explotados.
En concreto, estas vulnerabilidades son las registradas como CVE-2023-36025, CVSS 8.8 según fabricante, la cual se trata de una falla de Windows SmartScreen explotada activamente que permite que un acceso directo a internet malicioso eluda los controles y advertencias de seguridad.
Asimismo, el error CVE-2023-36033, CVSS 7.8 según fabricante, podría permitir la elevación de privilegios en la biblioteca principal DWM de Windows. Y, en último lugar, CVE-2023-36036, CVSS 7.8 según fabricante, que al igual que en el caso anterior su aprovechamiento podría desencadenar en una elevación de privilegios en archivos en la nube de Windows.
En último lugar, cabe indicar que entre todas las vulnerabilidades únicamente una ha sido considerada como crítica CVE-2023-36397, CVSS 9.8, la cual consiste en aprovechar esta vulnerabilidad en Windows Pragmatic General Multicast (PGM) enviando un archivo especialmente diseñado a través de la red, lo que podría permitir ejecutar código malicioso remoto.
Nueva vulnerabilidad crítica no parcheada en VMware
VMware ha publicado un advisory en el que informa de una vulnerabilidad crítica no parcheada que afecta a las implementaciones de dispositivos Cloud Director. El fallo, que ha sido denominado CVE-2023-34060, es de tipo bypass de autenticación y puede ser explotada por atacantes remotos no autenticados mediante ataques poco complejos que no requieren interacción con el usuario.
La empresa destaca que la vulnerabilidad solo afecta a los dispositivos que usen la versión de VCD Appliance 10.5 y que hayan sido actualizados desde una versión anterior, por lo que no se verán afectados aquellos dispositivos que hayan instalado recientemente VCD Appliance 10.5 o sean implementaciones Linux. Finalmente, aunque no se ha publicado un parche para este fallo, VMware sí ha proporcionado a los usuarios una mitigación que implica la descarga de un script personalizado como medida paliativa.
CISA advierte sobre ataques de ransomware Rhysida
El CISA, el FBI y el MS-ISAC han emitido una advertencia conjunta sobre los ataques del ransomware Rhysida, que ha afectado a diversas organizaciones desde su aparición en mayo de 2023. En concreto, las víctimas se aglutinan en sectores como educación, salud, manufactura, tecnología y gobierno, operando bajo el modelo de ransomware-as-a-service (RaaS).
El aviso destaca que los actores amenaza comprometen a las organizaciones víctimas mediante ataques de phishing, explotando la vulnerabilidad conocida como Zerologon, CVE-2020-1472 CVSS 10.0, y vulnerando servicios remotos, como VPN, a través de la utilización de credenciales robadas, especialmente en entornos sin autenticación multifactorial habilitada; y así establecer el acceso inicial y mantener presencia dentro de las redes de las víctimas. Asimismo, también se advierte acerca de que afiliados del grupo Vice Society ahora están implementando cargas útiles de Rhysida.
Finalmente, se insta a las organizaciones a aplicar las medidas de mitigación descritas en el aviso de seguridad, incluyendo la corrección de vulnerabilidades, la activación de MFA y la segmentación de red para prevenir movimientos laterales. De igual manera, se proporcionan indicadores de compromiso, información de detección y TTP descubiertos durante las investigaciones.
Effluence: puerta trasera utilizada contra activos de Atlassian Confluence
El equipo de investigadores de Aon ha identificado una puerta trasera utilizada por actores maliciosos denominada Effluence que se implementa al explotar una vulnerabilidad en Atlassian Confluence. En concreto, el fallo de seguridad que se aprovecha para distribuir este software malicioso es el registrado como CVE-2023-22515, CVSSv3 de 9.8, el cual se trata de un error crítico en Atlassian que podría aprovecharse para crear cuentas de administrador de Confluence no autorizadas y acceder a servidores de Confluence.
En caso de ser aprovechada la vulnerabilidad, Effluence genera persistencia y no se soluciona aplicando parches de seguridad, posibilitando a actores maliciosos la capacidad de realizar movimientos laterales en la red, además de poder filtrar datos de Confluence. Es importante destacar que los atacantes pueden acceder a la puerta trasera de forma remota sin autenticarse en Confluence.
En último lugar, cabe indicar que, en base a estos hechos, Atlassian ha revelado una segunda vulnerabilidad crítica, registrada como CVE-2023-22518, CVSSv3 de 9.8, que puede ser aprovechada, concatenada con la anterior, para configurar una cuenta de administrador, resultando en la pérdida de confidencialidad, integridad y disponibilidad de los datos.
CISA advierte sobre el actor amenaza Scattered Spider
La CISA y el FBI han emitido un aviso conjunto acerca del grupo Scattered Spider, también conocido como Starfraud, UNC3944, Scatter Swine, y Muddled Libra, que colaboran con la operación de ransomware BlackCat/ALPHV. Según se indica, contrariamente a la percepción de ser una banda cohesionada, Scattered Spider es una red de individuos, lo cual complica su seguimiento.
La banda utiliza tácticas de ingeniería social, phishing y ataques de fatiga MFA para obtener acceso inicial a redes corporativas de las víctimas. Después de infiltrarse, emplean diversas herramientas de software público para reconocimiento y movimiento lateral. Además, realizan ataques de phishing para instalar malware como WarZone RAT y Raccoon Stealer. Asimismo, recientemente han adoptado la exfiltración de datos y el cifrado de archivos con el ransomware BlackCat/ALPHV, aplicando la doble extorsión.
Scattered Spider muestra especial interés en activos valiosos como repositorios de código y certificados de firma; y también monitorean de cerca los canales de comunicación de las víctimas. El aviso de la CISA incluye una serie de recomendaciones específicas a implementar contra esta amenaza, y recomiendan además validar controles de seguridad con las técnicas del MITRE descritas en el mismo.
💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
